A. MẠNG LAN VÀ THIẾT KẾ MẠNG LAN 3.1 Các thiết bị LAN cơ bản:
3.2.2. Mơ hình an ninh – an toàn:
An tồn và bảo mật ln là lý do khiến chúng ta chọn giải pháp lắp đặt kiểu mạng dựa trên máy phục vụ.
Trong môi trường dựa trên máy phục vụ, chế độ bảo mật do người quản trị mạng quản lý, bằng cách đặt ra các chính sách và áp đặt các chính sách ấy cho từng người dùng trên mạng.
Khái niệm:
Theo mội định nghĩa rộng thì an ninh – an tồn mạng dùng riêng, hay mạng nội bộ là giữ không cho ai làm cái mà mạng nội bộ đó khơng muốn cho làm.
Vậy khi kết nối LAN phải triển khai cơ chế nào để thực hiện yêu cầu an ninh an tồn. Chúng ta gọi đó là an ninh an tồn mạng.
Tài nguyên mà chúng ta muốn bảo vệ là gì?
Là các dinhcj vụ mà mạng đang triển khai
Là các thơng tin quan trọng mà mạng đó đang lưu giữ, hay cần lưu chuyển .
Là các tài nguyên phần cứng và phần mềm mà hệ thống mạng đó có để cung ứng cho những người dùng mà nó cho phép.
Nhìn từ một khía cạnh khác thì vấn đề an ninh an tồn khi thực hiện kết nối LAN còn được thể hiện qua tính bảo mật (confidentiality ), tính tồn vẹn (integrity) và tính sẵn dùng (availability) của các taì nguyên về phần cứng, phần mềm, dữ liệu và các dịch vụ của hệ thống mạng.
Vấn đề an ninh - an tồn cịn thể hiện qua mối quan hệ giữa người dùng với hệ thống mạng và tài nguyên trên mạng. Các quan hệ này được xác định , được đảm bảo qua các phương thức xác thực (authentication ), xác định được phép (authorization ) dùng và bị từ chối (repudiation ). Chúng ta sẽ xét chi tiết:
Tính bảo mật: Bảo đảm tài nguyên mạng không bị tiếp xúc, bị sử dụng bởi
người khơng có thêm quyền. Chẳng hạn dữ liệu truyền đi trên mạng được đảm bảo không bị lấy trộm cần được mã hoá trước khi truyền. Các tài nguyên đó đều có chủ và được bảo vệ bằng các công cụ và các cơ chế an ninh – an tồn.
Tính tồn vẹn: Đảm bảo khơng có việc sử dụng, và sửa đổi nếu khơng được
cho phép, ví dụ như lấy hay sửa đổi dữ liệu, cũng như thay đổi cấu hình hệ thống bởi những người khơng được phép hoặc khơng có quyền. Thơng tin lưu hay truyền trên mạng và các tệp cấu hình hệ thống ln được đảm bảo
giữ tồn vẹn. Chúng chỉ được sử dụng và được sửa đổi bởi những người chủ của nó hay được cho phép.
Tính sẵn dùng: Tài nguyên trên mạng luôn được đảm bảo khơng thể bị
chiếm giữ bởi người khơng có quyền. Các tài ngun ln sẵn sàng phục vụ những người được phép sử dụng. Những người có quyền có thể được dùng bất cứ khi nào. Thuộc tính này rất quan trọng, nhất là trong các dịch vụ mạng phục vụ cơng cộng (ngân hàng, tư vấn, chính phủ điện tử,…).
Việc xác thực: Thực hiện xác định người dùng được quyền dùng một tài
ngun nào đó ngư thơng tin hay tài ngun phần mềm và phần cứng trên mạng. Việc xác thực thường kết hợp với sự cho phép, hay từ chối phục vụ. Xác thực thường được dùng là mật khẩu (password), hay căn cước của người dùng như vân tay hay các dấu hiệu đặc dụng. Sự cho phép xác định người dùng được quyền thực hiện một hành động nào đó như đọc ghi một tệp (lấy thơng tin ), hay chạy chương trình (dùng tài nguyên phần mềm), truy nhập vào một đoạn mạng (dùng tài nguyên phần cứng), gửi hay nhận thư điện tử, tra cứu cơ sở dữ liệu, dịch vụ mạng… Người dùng thường phải qua giai đoạn xác thực bằng mật khẩu (password, RADIUS …) trước khi được phép khai thác thơng tin hay một tài ngun nào đó trên mạng.
Xây dựng an ninh – an toàn mạng khi kết nối LAN
Các bước xây dung:
Xác định cần bảo vệ cái gì?
Xác định bảo vệ khỏi những loại tấn công nào ?
Xác định những mối đe doạ an ninh có thể ?
Xác định các công cụ đẻ đảm bảo an ninh ?
Xây dựng mơ hình an ninh – an tồn.
Thường kiểm tra các bước trên, nâng cấp, cập nhật và hệ thống khi có một lỗ hổng an ninh - an tồn được cảnh báo.
Mục đích của việc xây dụng mơ hình an ninh – an toàn khi kết nối LAN là xây dựng các phương án để triển khai vấn đề an ninh – an toàn khi kết nối và đưa LAN vào hoạt động.
Đầu tiên mục đích và yêu cầu về vấn đề an ninh – an toàn hệ thống ứng dụng phải được vạch ra rõ ràng.
Chẳng hạn mục tiêu và yêu cầu an ninh – an toàn khi kết nối LAN cho các cơ quan hành chính nhà nước sẽ khác với việc kết nối LAN cho các trường đại học.
mơ hình an ninh – an tồn phải phù hợp với các chính sách, nguyên tặc và luật lệ hiện hành.
phải giải quyết cá vấn đề liên quan đến an ninh – an tồn một cách tồn cụa. Có nghĩa là phải đảm bảo cả về phương tiện kỹ thuật và con người triển khai.
Một số cơng cụ triển khai mơ hình an ninh – an toàn
Hệ thống tường lửa 3 phần (three-part firewall System) - Hệ thống tường lửa là gì?
Tường lửa là một công cụ phục vụ cho việc thực hiện an ninh – an toàn mạng từ vong ngồi, nhiệm vụ của nó như là hệ thống hàn rào vong ngồi của cơ sở cần bảo vệ. Khi kết nối hai hay nhiều phần tử của LAN nguy cơ mất an ninh tại các điểm kết nối là rất lớn, tường lửa là cơng cụ được chọn đặt tại các điểm kết nối đó.
Tường lửa trong tiếng Anh là Firewall, là ghép của hai từ fireproof và wall nghĩa là ngăn không cho lửa cháy lan. Trong xây dung, tường lửa được thiết kế để ngăn khơng cho lửa cháy lan từ phần này của tồ nhà sang phần khác của tồ nhà khi có hoả hoạn. Trong cơng nghệ mạng, tường lửa được xây dựng với mục đích tương tự, nó ngăn ngừa các hiểm hạo từ phía cộng đồng các mạng cơng cộng hay mạng Internet, hay tấn công vào một mạng nội bộ (internal networt) của một công ty, hay một tổ chức khi mạng này kết nối qua mạng công cộng, hay internet.
Tường lửa dặt ở cổng vào/ ra của mạng, kiểm soát việc truy cập vào ra của mạng để ngăn ngừa việ tấn công từ phía ngồi vào mạng nội bộ.
Tường lửa phải kiểm tra, phát hiện, dị tìm dấu vết tất cả các dữ liệu đi qua nó để làm cơ sở cho các quyết định (cho phép, loại bỏ, xác thực, mã hoá, ghi nhật ký…) kiểm sốt các dịch vụ của mạng nó bảo vệ.
Để đảm bảo múc độ an ninh – an toàn cao, tường lửa phải có khả năng truy nhập, phân tích và sử dụng các thơng tin về truyền thông trong 7 tầng và các trạng thái của các phiên truyền thông và các ứng dụng. Tường lửa cũng phải có khả năng thao tác các dữ liệu bằng các phép toán logic, số học nhằm thực hiện các yêu cầu về an ninh – an toàn. Tường lửa bao gồm các thành phần: các bộ lọc hay sàng lọc.
Tường lửa chính là cổng (gateway) vào/ ra của một mạng nội bộ (mạng trong), trên đó có đặt hai bộ lọc vào/ra để kiểm tra dữ liệu vào/ra mạng nội bộ.
Xác định vị trí đặt tường lửa trong hệ thống mạng hiện đại.
Theo truyền thống thì tường lửa được đặt tại vị trí vào/ra mạng nội bộ (mạng được bảo vệ) với mạng cơng cộng (mạng ngồi), hay mạng internet (khi kết nối với internet).
Ngày nay trong một tổ chức khi kết nối LAN có thể nối mạng khác nhau, và do yêu cầu an ninh – an tồn của đoạn mạng đó khác nhau. Khi đó tường lửa sẽ được đặt ở vị trí vào/ ra của đoạn mạng cần bảo vệ.
Dữ liệu vào/ra mạng nội bộ với mạng ngồi đều đi qua tường lửa, do đó tường lửa, do đó tường lửa có thể kiểm sốt và đảm bảo dữ liệu nào đó là có thể được chấp nhận (acceptable) cho phép vào/ra mạng nội bộ.
50 Mạng trong Mạng ngoài Bộ lọc và o Bộ lọc ra Gateway Cổng vào/ ra Mơ hình tường lửa
Hình 3-11: Mơ hình logic của tường lửa
Về mặt logic thì tường lửa là điểm thắt (choke point). Cơ chế này bắt buộc những kẻ tấn công từ phía ngồi
Hệ thống tường lửa chia thành ba phần (Three- Part Fire Wall System) đặc biệt quan trọng tring thiết kế WAN.ở đây em chỉ nêu một số khía cạnh chung nhất cấu trúc của mơ hình trong thiết kế mạng LAN.
- LAN cô lập làm vùng đệm giữa mạng công tác với mạng bên ngồi (LAN cơ lập được gọi là khu phi quân sự hay vùng DMZ).
- Thiết bị định tuyến trong có cài đặt bộ lọc gói được đặt giữa DMZ và mạng công tác.
- Thiết bị định tuyến ngồi có cài đặt bộ lọc gói được đặt giữa DMZ và mạng ngoài.